JP2006067174A - 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム - Google Patents

制御プログラム、通信中継装置制御方法、通信中継装置及びシステム Download PDF

Info

Publication number
JP2006067174A
JP2006067174A JP2004246553A JP2004246553A JP2006067174A JP 2006067174 A JP2006067174 A JP 2006067174A JP 2004246553 A JP2004246553 A JP 2004246553A JP 2004246553 A JP2004246553 A JP 2004246553A JP 2006067174 A JP2006067174 A JP 2006067174A
Authority
JP
Japan
Prior art keywords
information
connection
authentication information
setting
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004246553A
Other languages
English (en)
Inventor
Satoshi Oobaka
聡 大波加
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004246553A priority Critical patent/JP2006067174A/ja
Priority to US10/999,316 priority patent/US20060045272A1/en
Publication of JP2006067174A publication Critical patent/JP2006067174A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

【課題】アクセスポイントに無線LANで接続するための接続情報及び認証情報の設定を容易にし、認証情報の不正使用が判明した際に簡単且つ確実に排除可能とする。
【解決手段】 アクセスポイント設定用端末14からの指示によりアクセスポイント10の接続情報と無線LANで接続する端末12の認証情報を設定し、この設定情報と認証情報を複写したメモリカード18を端末12に接続して端末12の設定を行う。アクセスポイント10のアソシエーションテーブル68には端末のMACアドレスと認証情報の組合せを登録し、接続要求で受信されたMACアドレスと認証情報の組合せが正しい場合は接続を許可する。不正使用端末によるMACアドレスと認証情報の登録は、メモリカード18の再複写のために設定済み認証情報の消去に伴って削除され、その後の不正使用端末の接続を拒否する。
【選択図】 図1

Description

本発明は、無線LANのアクセスポイントと端末に接続情報とセキュリティ情報の設定するための制御プログラム、通信中継装置制御方法、通信中継装置及びシステムに関し、特に、メモリカードを使用して端末に接続情報とセキュリティ情報を設定する制御プログラム、通信中継装置制御方法、通信中継装置及びシステムに関する。
従来、有線ケーブルを使用しないLANとして無線LANが知られており、IEEE802.11準拠の無線LANが普及している。IEEE802.11準拠の現行の無線LANには、IEEE802.11b、IEEE802.11g、IEEE802.11aの3つの規格がある。
IEEE802.11bは2.4GHz帯の電波を利用し、通信方式としてはスペクトラム拡散通信方式を使用し、最大転送スピード11Mbpsを実現している。IEEE802.11gは同じく2.4GHz帯の電波を使用し、通信方式としては直交周波数多重分割方式を使用して最大転送スピード54Mbpsを実現している。更に、IEEE802.11aは5GHz帯の電波を利用し、通信方式としては直交周波数多重分割方式を使用して最大転送スピード54Mbpsを実現している。
このような無線LANにあっては、パーソナルコンピュータ等の端末(クライアント)をアクセスポイントと無線LANで接続するためには、端末においてアクセスポイントに対して設定した情報を設定する必要がある。
また無線LANにあっては、電波が外部に漏れるなどの理由から不正使用の危険性が高く、近年にあっては、アクセスポイントと端末との接続のセキュリティを高めるために、認証を行うようにしている。
無線LANのアクセスポイントによる認証のためには端末側に認証情報を設定しておく必要があり、例えば認証サーバの発行する証明書データをネットワークや様々な媒体を使用して接続する端末にインストールしている。その時、セキュリティ強化のためにパスワードを入力する場合もある。またアクセスポイント接続時に認証サーバに対して、ユーザ名、パスワードなどを入力する場合もある。更に、認証サーバがない場合には、アクセスポイントに端末の端末識別子を登録して、接続制限を行うことが一般的に行われている。
特開平7−58749 特開2003−188788 特開平10−222468 特開平10−171909
しかしながら、従来の無線LANにあっては、端末をアクセスポイントと接続するため、アクセスポイントに対して設定した情報をユーティリティ等を使用してユーザが端末で設定しているが、この設定は慣れない人にとっては難しく、手間と時間がかかるという問題がある。
また認証を行うことでアクセスポイントと端末との接続のセキュリティを高めているが、多くの場合、ユニークな認証情報であってもそれを複製されることで成りすましが可能である。これを防ぐためにユーザは認証情報をインストールする際にパスワードを入れることでセキュリティを高めたり、MACアドレスを事前に登録したりするなどの面倒な作業を行う必要があり、接続情報の設定に加え、セキュリティ情報の設定に手間と時間がかかるという問題がある。
更に、アクセスポイントと端末の接続に認証を行っていても、ユーザの使用する認証情報を第三者が不正に入手してアクセスポイントの認証をパスして不正に接続許可を取得したような場合、正当なユーザが不正使用された認証情報を使用して接続を要求しても拒否され、改めて別の認証情報を取得して接続許可を取る必要がある。
しかし、これでは認証情報を不正に使用している端末のアクセスポイントに対する接続が排除できずに残ったままとなり、アクセスポイントに対し不正使用の対象なっている認証情報の設定状態を調べてこれを削除する特別な作業を行わなければならないという問題がある。
本発明は、アクセスポイントに無線LANで接続するための接続情報及び認証情報の設定を容易にすると共に、認証情報の不正使用が判明した際に簡単且つ確実に排除可能とする制御プログラム、通信中継装置制御方法、通信中継装置及びシステムを提供することを目的とする。
図1は本発明の原理説明図である。
(制御プログラム)
本発明は、アクセスポイント10として機能する通信中継装置がメモリカード18等の可搬型記憶媒体を接続可能であることを前提に、端末12として機能する通信装置と無線ネットワーク(無線LAN)により接続されるアクセスポイント10として機能する通信中継装置により実行される制御プログラムを提供する。
本発明の制御プログラムは、コンピュータに、
情報設定用通信装置(アクセスポイント設定用端末14)からの指示により通信中継装置の接続情報と無線ネットワークで接続する前記通信装置の認証情報を設定する情報設定ステップと、
通信中継装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
メモリカード18等の可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信した認証情報が正しいことを条件に通信装置の識別子と認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可ステップと、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を実行させることを特徴とする。
ここで設定情報複写ステップは、通信中継装置に接続された可搬型記録媒体に設定済みの認証情報が複写されていた場合、設定済みの複写情報を可搬型記録媒体及び管理情報から削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を複写する。
本発明の別の形態は、アクセスポイント10として機能する通信中継装置がメモリカード18等の可搬型記憶媒体を接続できず、アクセスポイント設定用端末14として機能する情報設定用通信装置が可搬型記憶媒体を接続可能であることを前提に、端末12として機能する通信装置と無線ネットワークにより接続される通信中継装置により実行される制御プログラムを提供する。
本発明の制御プログラムは、通信装置と無線ネットワークにより接続される通信中継装置のコンピュータに、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定ステップと、
情報設定用通信装置に接続された可搬型記録媒体に接続情報と認証情報を複写する設定情報複写ステップと、
可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に通信装置の識別子と認証情報の組合わせを管理情報に登録し、通信装置に対し接続許可を通知する接続許可ステップと、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を実行させることを特徴とする。
ここで、情報設定ステップは、情報設定用通信装置から可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、管理情報から設定済みの認証情報を削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を可搬型記録媒体に設定する。
本発明の制御プログラムに於いて、通信装置の識別子は、通信装置のMACアドレスである。
(通信中継装置制御方法)
本発明は、通信中継装置制御方法を提供する。本発明の通信中継装置制御方法は、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定ステップと、
通信中継装置に接続された可搬型記録媒体に接続情報と認証情報を複写する設定情報複写ステップと、
可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に通信装置の識別子と認証情報の組合わせを管理情報に登録し、通信装置に対し接続許可を通知する接続許可ステップと、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を備えたことを特徴とする。
ここで設定情報複写ステップは、通信中継装置に接続された可搬型記録媒体に設定済みの認証情報が複写されていた場合、設定済みの複写情報を可搬型記録媒体及び管理情報から削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を複写する。
本発明の別の形態による通信中継装置制御方法にあっては、
情報設定用通信装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、通信装置に対し接続許可を通知する接続許可ステップと、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を備えたことを特徴とする。
ここで、情報設定ステップは、情報設定用通信装置から可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、管理情報から設定済みの認証情報を削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を可搬型記録媒体に設定する。
(通信中継装置)
本発明は通信中継装置を提供する。本発明の通信中継装置は、可搬型記憶媒体が接続可能であること前提に、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
接続された可搬型記録媒体に接続情報と認証情報を複写する設定情報複写部と、
可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、通信装置に対し接続許可を通知する接続許可部と、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を備えたことを特徴とする。
ここで設定情報複写部は、通信中継装置に接続された可搬型記録媒体に設定済みの認証情報が複写されていた場合、設定済みの複写情報を可搬型記録媒体及び管理情報から削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を複写する。
本発明の別の形態による通信中継装置は、可搬型記憶媒体の接続機能を持たないことを前提に、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
情報設定用通信装置に接続された可搬型記録媒体に接続情報と認証情報を複写する設定情報複写部と、
可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に通信装置の識別子と認証情報の組合わせを管理情報に登録し、通信装置に対し接続許可を通知する接続許可部と、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を備えたことを特徴とする。
ここで、情報設定ステップは、情報設定用通信装置から可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、管理情報から設定済みの認証情報を削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を可搬型記録媒体に設定する。
(システム)
本発明は無線ネットワークのシステムを提供する。本発明のシステムは、
可搬型記録媒体を接続する通信中継装置と、
通信中継装置に無線ネットワークで接続され可搬型記録媒体を接続可能な通信装置と、
通信中継装置に接続情報と前記通信装置の認証情報の設定を指示する情報設定用通信装置と、
を備え、
通信中継装置に、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
接続された可搬型記録媒体に接続情報と認証情報を複写する設定情報複写部と、
可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に通信装置の識別子と認証情報の組合わせを管理情報に登録し、通信装置に対し接続許可を通知する接続許可部と、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を設けたことを特徴とする。
ここで設定情報複写部は、通信中継装置に接続された可搬型記録媒体に設定済みの認証情報が複写されていた場合、設定済みの複写情報を可搬型記録媒体及び管理情報から削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を複写する。
本発明による無線ネットワークシステムの別の形態にあっては、
通信中継装置と、
通信中継装置に無線ネットワークで接続され可搬型記録媒体を接続可能な通信装置と、
可搬型記録媒体を接続し、通信中継装置に接続情報と前記通信装置の認証情報の設定を指示する情報設定用通信装置と、
を備え、
情報設定用通信装置に、
通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報の設定を指示する情報設定指示部と、
通信中継装置に設定を指示した接続情報と認証情報を接続した可搬型記録媒体に複写するカード複写処理部を、
設け、
通信中継装置に、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
情報設定用通信装置に接続された可搬型記録媒体に接続情報と認証情報を複写する設定情報複写ステップと、
可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に通信装置の識別子と認証情報の組合わせを管理情報に登録し、通信装置に対し接続許可を通知する接続許可部と、
接続許可を通知した後に通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を設けたことを特徴とする。
ここで、情報設定部は、情報設定用通信装置から可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、管理情報から設定済みの認証情報を削除した後に、情報設定用通信装置から指示された設定情報と新たな認証情報を可搬型記録媒体に設定する。
本発明によれば、アクセスポイント設定用端末の指示によりアクセスポイントに設定した接続情報がメモリカードに複写され、このメモリカードをアクセスポイントに接続しようとする端末(無線LANクライアント)に接続して接続情報の設定を行うことで、端末での設定作業を簡単且つ容易にできる。
また認証情報についてもメモリカードに複写して端末(無線LANクライアント)に接続するため、認証情報を許容された最大の桁数まで拡張して簡単且つ容易に端末に設定することができ、アクセスポイントと端末の接続を認証により行う場合のセキュリティを最大に強化することができる。
またアクセスポイントには接続許可を通知した端末について、端末の識別子と認証情報の組合せ、例えばMACアドレスと認証情報の組合せを登録し、この組合せが正しいときに接続を許可し、組合せが誤っているときに接続を拒否することで、セキュリティを強化することができる。
更に、認証情報を不正に入手した不正使用端末からの接続要求に対し、不正端末の識別子と認証情報の組合せが登録されていても、不正使用された認証情報が複写されているメモリカードを使用して再度設定情報と認証情報の複写を行うことで、アクセスポイントに登録されている不正使用端末の認証情報が自動的に削除される。このため、それ以降、不正使用端末からの接続要求に対し端末の識別子と認証情報の組合せが誤りとなることで接続を拒否し、不正使用端末をアクセスポイントから排除できる。
図2は、メモリカードを接続するカードスロットを備えたアクセスポイントを用いた本発明が適用される無線LANシステムの説明図である。
図2において、通信中継装置として機能するアクセスポイント10はカードスロット16を備えており、カードスロット16に対しては可搬記憶媒体であるメモリカード18を着脱することができる。アクセスポイント10は有線ネットワークである有線LAN20に接続されており、アクセスポイント10の設定作業のために有線LAN20に対し一時的に接続されるアクセスポイント設定用端末14からの設定指示を受けて、無線LANクライアントとしての端末12との接続に必要な接続情報及びセキュリティ用の認証情報の設定登録を遠隔的にできるようにしている。
アクセスポイント設定用端末14によりアクセスポイント10に対し接続情報及び認証情報の設定操作を行う際には、アクセスポイント10のカードスロット16にメモリカード18を挿入して接続しておき、アクセスポイント10の設定処理が完了した段階で、設定済みの接続情報とアクセスポイント10に接続する端末12の認証情報を書き込むようにしている。メモリカード18としては、CFカード、スマートメディア、SDカードなどの適宜のメモリカードを使用することができる。
アクセスポイント10に無線ネットワークである無線LANにより接続するパーソナルコンピュータなどの端末12は、メモリカード18を接続するカードスロット(図示せず)を備えており、アクセスポイント10で接続情報及び認証情報が書き込まれたメモリカード18をカードスロットに挿入して接続した状態で、端末12にインストールしているソフトウェアによりメモリカード18から必要な情報を読み出して、アクセスポイント10に無線LANで接続するための接続情報の設定及び認証情報の設定ができるようにしている。
ここで図2の無線LANシステムにおける接続情報及び認証情報の設定手順を説明すると次のようになる。
まずアクセスポイント10にメモリカード18を挿入して接続し、アクセスポイント設定用端末14を例えば有線LAN20に接続し、アクセスポイント10に対するSSID(Service Set identity)や暗号キーなどの接続情報の設定と、無線LANでアクセスポイント10に接続するパーソナルコンピュータなどの端末12の認証情報の設定を行う。
ここでアクセスポイント10と端末12の間の無線LANとしては、IEEE802.11に準拠した方式を採用しており、アクセスポイント10と端末12との間の無線通信にはWEP(Wired Equivalent Privacy)として知られた暗号化通信を採用しており、この暗号化通信に必要な暗号キーをアクセスポイント10の設定処理の際に発行し、メモリカード18に認証情報として書き込んで端末12側の認証情報の設定に使用する。
またアクセスポイント10と端末12との間の無線通信については、ESSID(SSID)として知られた両者の間で暗号を使用して認証を行う方式を採用している。このESSIDによる認証通信の設定は、端末12側に対する「ANY」キーを設定することで、アクセスポイント10との間の暗号を使用した無線通信を可能とする。
このうちWEPによる認証情報である暗号キーが強力なセキュリティ機能を発揮することになり、認証情報としての暗号キーは現在起用されている最大の桁数まで拡張させることでセキュリティを最大に強化することができる。
暗号化通信のためのWEPにあっては、RC4(Rivest Cipher 4)と呼ばれるアルゴリズムに基づいた秘密キー暗号方式が使用される。暗号化アルゴリズムRC4は、256バイトの乱数列を作成し、それをフレームのデータ部分に排他的論理和でたしていくことにより暗号化する。受信側では、送信されてきた初期化ベクトルを利用して、送信側と全く同一の計算方法と排他的論理和をとることにより元のデータを復号する。
この秘密キー暗号方式は暗号化と復号化で同じ鍵を用いるため、同じキーをアクセスポイント10と端末12の両方に設定しておく必要があるが、本発明にあっては、この暗号キーはメモリカード18に書き込まれ、端末12に接続することで自動的に端末側に設定できる。
WEPの暗号キーとしては、40ビット、104ビット、128ビットを選択することができるが、望ましくは最大桁数である128ビットに拡張したキー長とすることでセキュリティを最大にする。
更に詳細に説明すると、暗号キーの長さは64ビットと128ビットの2種類があるが、そのうち24ビットの初期化ベクトルを装置側で固定値として自動生成し、外部指示により設定した秘密キーを組合わせている。外部的な指示で設定する必要がある秘密キーの長さは40ビットあるいは104ビットとなっている。しかし、40ビット又は104ビットの秘密キーでは総当りによる解読の可能性が残ることから、秘密キーの長さを128ビット対応とし、総当りによる解読を事実上不可能にしている。
本発明にあっては、WEP用の暗号キーである認証情報をメモリカード18に書き込んだ後に端末12に接続して設定できるようにしているため、暗号キーのキー長が最大桁数と大きくなっても、設定作業はメモリカード18に対する書込みと読出しによってできるため、キー長を最大桁に拡張しても容易に端末12側に設定することができる。
このようにアクセスポイント10のアクセスポイント設定用端末14による接続情報及び認証情報の設定処理が終了すると、設定終了時点でアクセスポイント10はメモリカード18に接続情報と端末12ごとのユニークな認証情報を書き込む。
次に接続情報と認証情報が書き込まれたメモリカード18をアクセスポイント10から取り外し、アクセスポイント10に無線LANで接続したいパーソナルコンピュータなどの端末12のカードスロットに挿入接続し、端末12にインストールしている無線LAN設定用のソフトウェアによりメモリカード18から必要な情報を読み出して、端末12における無線LANに必要な設定処理を行う。
メモリカード18に基づく端末12の無線LANに関する設定が終了したならば、設定された情報を基に端末12からアクセスポイント10に対し通信接続の許可を得るためのアクセスが行われる。この通信許可を得るためのアクセスは、端末12によるアクセスポイント検索動作、認証動作、更にアソシエーション動作の順に行われる。
アクセスポイント検索動作は、端末12が自分の通信接続可能な全チャネルを使用してプローブ要求パケットを送信し、このプローブ要求パケットを受信したアクセスポイント10からプローブ応答パケットを受信することで、接続可能なアクセスポイントを認識する。具体的には、端末12において接続可能なアクセスポイント10のSSIDで指定されたネットワーク名のリスト表示が行われる。
端末12にあっては、プローブ応答パケットを返してきたアクセスポイントのSSIDで示されるネットワーク名の中から、いずれか1つのネットワークを選択して認証動作とアソシエーション動作を行う。
認証動作は、端末12がアクセスポイント10を決定してアソシエーションを行う前に、アクセスポイント10に対し認証要求を出す。アクセスポイント10は、認証応答を返すと同時に3〜255バイト長のチャレンジテキストを送信する。端末12は受信したチャレンジテキストを暗号キーで暗号化してレスポンスメッセージとしてアクセスポイント10に返す。アクセスポイント10は同じ暗号キーを使用して復号したメッセージが最初に送ったチャレンジテキストに一致すれば、認証成功としてアクセス認証を終了する。
アソシエーション動作はアソシエーション要求パケットを認証が成功したアクセスポイント10に送信し、これを受信したアクセスポイント10にあっては、端末との接続を管理している管理テーブルであるアソシエーションテーブルに端末名、例えば端末固有の識別子であるMACアドレスを登録して、接続許可を示すアソシエーション応答パケットを端末12に返す。
これによって端末12はアクセスポイント10に対して送信するパケットにアソシエーション識別子を設けることで通信許可状態が確立され、以降アプリケーションレベルの処理に基づき、アクセスポイント10と端末12との間で無線LANによる通信接続が行われることになる。
ここでアクセスポイント10は、端末12の認証に成功してアソシエーション動作を行った場合に、端末12の識別子であるMACアドレスと認証情報の組合せを、管理テーブルであるアソシエーションテーブルに登録した後に、端末12に対し通信許可を通知するアソシエーション応答パケットを送信している。
このためアソシエーションテーブルに端末12のMACアドレスと認証情報の組合せが登録されて通信許可が確立された後に、端末の電源投入などに伴って端末12からの接続要求、即ち認証要求とリアソシエーション要求があった場合には、認証成功後に接続要求で受信した端末12の認証情報とMACアドレスの組合せを、アソシエーションテーブルに登録しているMACアドレスと認証情報の組合せと照合し、正しい組合せであることを判定した場合に通信接続を許可することになる。
このようにアクセスポイント10において端末12の接続要求に対する接続許可をMACアドレスと認証情報の組合せに基づいて行うことで、認証情報のみあるいはMACアドレスのみの認証による接続許可に比べ、不正アクセスに対するセキュリティを大幅に強化することができる。
図3は、図2のアクセスポイントと端末のハードウェア環境のブロック図である。図3において、アクセスポイント10にはプロセッサ22が設けられ、プロセッサ22に対しバス24を介して、RAM26、ROM28、無線LANコントローラ30、有線LANコントローラ38が接続されている。
無線LANコントローラ30にはアンテナ切替部32を介してコネクタ34−1,34−2によってアンテナ36−1,36−2が接続されている。また有線コントローラ38はコネクタ40を介して有線LAN20に接続される。
無線LANコントローラ30は、本発明の接続情報及び認証情報の設定処理に必要な処理機能を備えている。また無線LANコントローラ30は、IEEE802.11に準拠して、無線LAN物理層、無線LANMAC層、上位層を構築し、CSMA−CA(搬送波検知衝突回避)に従った無線通信を行っている。
無線LANにおいて電波に乗せる信号は有線イーサネットのイーサネットフレームに近似したもので、通常、MACフレームと呼ばれており、有線のイーサネットフレームに無線特有の情報を付加したフレーム構成を持っている。MACフレームは、そのヘッダに送信元と相手先のネットワークアダプタが持つMACアドレスが記載されている。
アクセスポイント10の中継動作は、無線LANコントローラ30で受け取ったイーサネットフレームの宛先MACアドレスを見て、相手が無線LAN上にあれば、無線イーサネットフレームにパケットを入れ直して中継する。また相手が有線LAN20上にあれば、有線イーサネットフレームにパケットを入れ直して中継することになる。
一方、端末12はパーソナルコンピュータを例に取っており、プロセッサ42が設けられており、プロセッサ42に対しバスを介してRAM44、ROM46、ハードディスクドライブ(HDD)48、表示部50、操作部52、更にメモリカード18を挿入接続するためのカードスロット15を備えている。また無線LANカード54がカードスロットに対し装着されている。
無線LANカード54は、無線LANコントローラ56、アンテナ切替部58、コネクタ60−1,60−2、アンテナ62−1,62−2を備えている。無線LANコントローラ56には、カードスロット15にアクセスポイント10側の設定情報及び認証情報を書き込んだメモリカード18を接続した際に、必要な情報を読み出して、アクセスポイント10との無線LANによる接続に必要な設定処理を行うためのソフトウエアとしての処理機能が組み込まれている。このソフトウェアとしての処理機能は、プロセッサ42側のアプリケーションプログラムとして設けるようにしてもよい。
図4は、図2のアクセスポイント、端末及びアクセスポイント設定用の機能構成のブロック図である。図4において、アクセスポイント10に設けた無線LANコントローラ30には、認証情報発行部64、情報設定部65、設定情報複写部66、アソシエーションテーブル68、接続許可部70及び接続処理部72の機能が設けられている。
また端末12の無線LANコントローラ56には、情報設定部76、接続許可要求部78、アクセスポイントリスト80及び接続処理部82の機能が設けられている。更にアクセスポイント設定用端末14には、設定用アプリケーションとして無線LAN設定部84が設けられ、その中に接続情報設定指示部86と認証情報設定指示部88の機能が設けられている。
アクセスポイント10の認証情報発行部64は、アクセスポイント設定用端末14からWEAを有効とする設定指示を受けた際に、予め定められた文字列に基づいて指定されたキー長の暗号キーを発行する。情報設定部65は、アクセスポイント設定用端末14からの指示により、アクセスポイント10の接続情報と無線LANで接続する端末12の認証情報を設定する。
設定情報複写部66は、情報設定部65によるアクセスポイント10における接続情報と認証情報の設定が完了した時点で、カードスロット16に接続しているメモリカード18に設定の済んだ接続情報と認証情報を書き込む複写処理を行う。
接続許可部70は、端末12がメモリカード18に基づいて無線LANの接続に必要な設定が完了した段階で、端末12からアソシエーション要求パケットによる最初の接続要求を受信した際に、受信された認証情報と保存している認証情報とを照合し、認証情報が正しいことを条件に、端末12の識別子であるMACアドレスと認証情報の組合せを管理テーブルであるアソシエーションテーブル68に登録し、端末12に対し接続許可を示すアソシエーション応答パケットを送信する。
接続処理部72は、アソシエーションテーブル68に対するMACアドレスと認証情報の登録で端末12の接続許可を通知した後に、端末12から接続要求を受信した際に、受信されたMACアドレスと認証情報の組合せをアソシエーションテーブル68に登録されているMACアドレスと認証情報との組合せと比較し、組合せの照合結果が一致して正しい組合せの場合は接続を許可し、組合せが誤っている場合は接続を拒否する。
図5は、図4のアクセスポイント10に設けているアソシエーションテーブル68の説明図である。図5のアソシエーションテーブル68にあっては、接続許可を通知した端末ごとに、端末識別子と認証情報の組合せとしてMACアドレスと端末固有の認証情報の組合せを登録している。
ここでアソシエーションテーブル68におけるMACアドレスと認証情報の組合せの登録は、不正ユーザが何らかの理由で特定の認証情報を不正に入手してアクセスポイント10にアクセスし、アソシエーションテーブル68に不正ユーザ端末のMACアドレスと不正入手した認証情報の組合せとして登録されている場合、本来の正式ユーザはメモリカードの認証情報に基づく接続要求を行っても、アソシエーションテーブル68に既に不正ユーザ端末によるMACアドレスと認証情報の登録があるため登録を拒否され、接続することができない。
このような場合、正式ユーザはアクセスポイント10に改めてメモリカード18を挿入し、アクセスポイント設定用端末14による設定指示に基づき、再度、アクセスポイント10に対し接続情報及び認証情報の設定指示を行い、設定完了でメモリカード18に接続情報と新たに発行した認証情報を書き込み、端末12で再度、接続設定を行うことになる。
この場合、再発行のためにアクセスポイント10に接続したメモリカード18には、前回発行した設定済みの認証情報が書き込まれており、アクセスポイント10にあっては新たに発行した認証情報をメモリカード18に書き込む際に、設定済みの認証情報が残っていることを認識し、メモリカード18の設定済みの認証情報を削除すると同時に、アソシエーションテーブル68についても設定済みの認証情報を削除する。
このためアソシエーションテーブル68に登録されている不正ユーザ端末のMACアドレスと認証情報の組合せのうち、メモリカード18の認証情報削除に伴って不正アクセス端末の認証情報も削除される。この結果、不正ユーザ端末が、その後、アクセスポイント10に接続要求を行った場合、アソシエーションテーブル68には不正ユーザ端末のMACアドレスしか登録されておらず、これに対し不正ユーザ端末からはMACアドレスと認証情報の組合せが送られ、アソシエーションテーブル68の登録内容と不一致となり、これによって、それ以降の不正ユーザ端末の接続要求を拒否することができる。
再び図4を参照するに、端末12の情報設定部76はアクセスポイント10による書込みが済んだメモリカード18を18−1のようにカードスロット74に挿入接続した状態で、プロセッサ42による制御の下に必要な情報を読み出し、アクセスポイント10との無線LANの接続に必要な接続情報及び認証情報の設定処理を行う。
接続許可要求部78は、接続情報及び認証情報の設定終了後にアクセスポイント10との接続許可を得るためのアクセスポイント検索動作とアソシエーション動作を行う。アクセスポイント検索動作は、無線LANコントローラ56で使用可能な全チャネルを使用してプローブ要求パケットを送信し、応答のあったアクセスポイントのSSIDをアクセスポイントリスト80に登録する。
アクセスポイントリスト80に複数のSSIDが登録されれば、そのうちのいずれか1つを選択して、アソシエーション要求パケットをアクセスポイント10に送信する。これに対しアクセスポイント10側では、受信した認証情報の照合成功でアソシエーションテーブル68にMACアドレスと認証情報を登録した後、通信許可を通知するアソシエーション応答パケットを送ってくるようになり、この応答パケットを受信することで端末12はアクセスポイント10との通信接続の許可状態を確立する。
その後、プロセッサ42による任意のアプリケーションの処理に伴う通信要求を接続処理部82で受けて、アクセスポイント10に対する接続要求を行い、アクセスポイント10におけるMACアドレスと認証情報の組合せの比較照合に基づく通信許可を受けて、無線LANによる通信処理を行うようになる。
更に、アクセスポイント設定用端末14に設けている無線LAN設定部84にあっては、接続情報設定指示部86及び認証情報設定指示部88を使用してアクセスポイント10に対する接続情報及びアクセスポイント10に接続使用とする端末12に必要な認証情報の設定指示を行う。この接続情報及び認証情報の設定指示は、具体的にはアクセスポイント設定用端末14に設けているユーティリティプログラムの実行による設定画面を使用して行うようになる。
図6は、図4のアクセスポイント設定用端末14で使用される無線LAN設定画面90の説明図である。この無線LAN設定画面90にあっては、アクセスポイント名92、ネットワーク名94、ANYキーによる接続96、ESSID98、モード100、チャネル102及びSuper G104の設定を行うようにしている。Super Gとは、IEEE802.11gを独自方式で高速化したものである。
アクセスポイント名92としては、例えばアクセスポイント10の製品名などである「FMWBR−201」を設定する。ネットワーク名94は端末側にSSIDとして表示される接続可能な無線LANのネットワーク名であり、例えばアクセスポイント名92と同じ「FMWBR−201」を設定している。
ANYキーによる接続96は「許可」または「拒否」のいずれかを設定する。ANYキーによる接続につき「許可」を選択すると、ネットワーク名をANYとした端末からの接続も許可する。「拒否」を選択した場合にはネットワーク名94と同じネットワーク名を設定した端末からのみ接続を許可する。
モード100はIEEE802.11における通信方式を選択する。この例では「802.11g&802.11b」、「802.11gのみ」、「802.11bのみ」の3つのいずれかが選択できる。
チャネル102はモード100で選択した無線LANの通信方式に依存しており、例えば802.11gの場合には1〜4チャネルのいずれかを選択でき、この場合にはチャネル「1」を選択している。
Super G104は「有効」または「無効」を選択するもので、このSuper G104について「有効」を設定するとSuper Gを設定した端末と独自方式の高速通信が可能となり、「無効」を設定すれば独自方式の高速通信を行わない。
図7は、図4のアクセスポイント設定用端末14に表示されるセキュリティ設定画面105の説明図である。このセキュリティ設定画面105は、無線LANにおける暗号化機能であるWEP(Wired Equivalent Privacy:有線LANと同等のプライバシー)に必要な情報を設定する。
セキュリティ設定画面105にはセキュリティ106、802.1x機能108、ネットワークキー110が設けられる。ネットワークキー110の中には、キーの長さ112、ネットワーク認証114、キーの形式115、キーのインデックス116及びキーマスク118の各項目が設定できるようにしている。
セキュリティ106のモードにあっては、「ベーシック」と「アドバンス」のいずれかを選択できる。802.1x機能108にあっては「使用」または「未使用」のいずれかを設定する。ネットワークキー110にあっては、キーの長さ112として「使用しない」「40ビット」「104ビット」「128ビット」のいずれかが選択でき、セキュリティを最大とするためには「128ビット」を選択することが望ましい。
ネットワーク認証114にあっては「オープンシステム」または「共有キー」が選択できる。これ以外にWPA(Wi−Fi Protested Access :Wi−Fi Allianceが定めた無線LANのセキュリティ機能でIEEEE801.11のサブセット)やWPA−PSK(WPA2)などを選択することもできる。
キーのインデックス116としては、この例では4種類のキー1,2,3,4を準備しており、いずれかのキーを選択することで、WEPで使用する暗号キーを生成するための文字列が選択され、これによって4種類の端末固有のWEP用の暗号キーを発行することができる。なお、端末が四台以上となった場合には、同じキーを重複して使用することになる。
また端末毎に異なる暗号キーを使用したい場合は、例えばWPAを設定すれば良い。WPAにあっては、秘密キーの長さを128ビット対応とし、全端末が個別の秘密キーを所有できるようにしている。
キーマスク118は、「有効」を選択することで、発行したキーを見えないようにすることができる。
図8は、図6及び図7の設定画面により設定したアクセスポイント設定項目と端末設定項目の対応説明図である。図8において、アクセスポイント設定項目にあっては、富士通株式会社製のアクセスポイントである「FMWBR−201」の表記例を示しており、また端末設定項目にあっては「ウィンドウズ(R)」の標準表記例を示している。なお図8は図6及び図7の設定画面に対応した設定情報を設定項目の一部として示しており、これ以外にも例えばウィンドウズ(R)における設定項目のプロパティを開くことで必要な情報が設定されることになる。
図9は、接続情報及び認証情報の設定処理によりアクセスポイント10に保持される設定データの説明図である。図9(A)はアクセスポイント10に保持される設定データ126の基本フォーマットであり、データ1,データ2,データ3,データ4をカンマでつなげたデータ構造を取っている。
図9(B)の設定データ128は具体的なデータ構造であり、16進表記で文字列はASCIIコードとした場合を例に取っており、図9(A)の設定データ126におけるカンマで区切られたデータ1,データ2,データ3,データ4に対応して、それぞれ16進文字列が記述されている。
図9(C)は、図9(A)の設定データ126におけるデータ1〜4における詳細説明であり、それぞれに対応してデータ詳細、データの意味及び補足を示している。図9(C)の設定データ詳細130において、データ1はネットワーク名である。データ2はWEPによる暗号化通信のためのデータであり、データ3は認証動作手順(EAP:Extensible Authentication Protocol)のためのデータであり、更にデータ4はWEP及びEPAで使用する秘密キーをサーバから証明書として取得する場合の情報である。
このような図9に示したアクセスポイントに設定される設定情報及び認証情報をメモリカード18に書き込んで端末12に接続することで、図8に示したように、アクセスポイントの設定項目に対応して端末の設定項目をメモリカード18から必要に応じて取り出して、アクセスポイントとの無線LANによる接続のための設定及び認証情報の設定が実現できる。
図10は、図4のアクセスポイント設定用端末14とアクセスポイント10の間の設定処理のタイムチャートである。図10において、アクセスポイント設定用端末14はステップS1で図6及び図7に示したような設定画面を開いて設定情報と認証情報の入力を行なう。
続いてステップS2で入力の済んだ設定情報と認証情報をアクセスポイント10に送信して設定を指示する。アクセスポイント10はステップS101でアクセスポイント設定用端末14から設定情報と認証情報を受信し、ステップS102でカードスロットにメモリカード18の接続があるか否かチェックする。
メモリカード18の接続があればステップS103に進み、メモリカード18に設定済みの認証情報が残っているか否かチェックする。もしメモリカード18に設定済みの認証情報が残っていた場合にはこれは一度発行したメモリカードの再発行であり、この場合にはステップS104でアソシエーションテーブル68及びメモリカード18から設定済みの認証情報を削除する。
一方、ステップS103でメモリカードに設定済み認証情報が残っていない最初のメモリカードの発行であった場合には、ステップS105で受信した接続情報と認証情報の設定処理を行った後、ステップS106でメモリカードに設定情報と認証情報を複写する。ステップS104でメモリ再発行のために認証情報を削除した場合にも同様である。そしてステップS107で設定完了をアクセスポイント設定用端末14に通知し、これを受けてアクセスポイント設定用端末14はステップS3で処理を終了する。
図11は、図4の端末とアクセスポイントの間の接続処理のタイムチャートである。図11において、端末12にあってはステップS1でカードスロットに接続されたメモリカード18から必要な情報を読み出して無線LAN接続のための接続情報及び認証情報の設定処理を実行する。
この設定処理が終了するとステップS2に進み、アクセスポイント検索のために検索要求としてプローブ要求パケットをアクセスポイント10に送信する。プローブ要求パケットを受信したアクセスポイント10はステップS101で検索応答してプローブ応答パケットを端末12に送信する。
アクセスポイント10からのプローブ応答パケットを受信した端末12はステップS3でアクセスポイント10に対し認証要求を出す。アクセスポイント10は、ステップS102で認証応答を返すと同時に3〜255バイト長のチャレンジテキストを送信する。端末12はステップS4で受信したチャレンジテキストを秘密キーで暗号化してレスポンスメッセージとしてアクセスポイント10に返し、アクセスポイント10はステップS103で同じ秘密キーを使用して復号したメッセージが最初に送ったチャレンジテキストに一致すれば、認証成功を応答する。
次に端末12はステップS5でアクセスポイント10に対する通信接続の許可を取得するため、アソシエーション要求としてアソシエーション要求パケットを送信する。アクセスポイント10はステップS104でアソシエーションテーブル68に端末固有の識別子であるMACアドレスと認証情報の組み合わせを登録し、ステップS105で接続許可をアソシエーション応答パケットにより通知する。
端末12はステップS6でアソシエーション応答パケットを受信してアクセスポイント10による接続許可を認識し、これによってアクセスポイント10に対する無線LAN通信可能状態を確立する。
続いてステップS7で任意なアプリケーションの実行で通信要求を判別すると、ステップS8でアクセスポイント10に対しアソシエーション識別子を含む接続要求を行い、接続要求を受けたアクセスポイント10はステップS106で受信した認証情報とMACアドレスの組み合わせとアソシエーションテーブル68に登録されているMACアドレスと認証情報の組み合わせを照合比較し、両者が一致した場合に接続許可を応答し、これによって端末12とアクセスポイント10の間の無線LANによる通信接続が確立され通信処理が実行される。
図12は、図4のアクセスポイント10における認証接続処理のフローチャートである。図12において、アクセスポイント10はステップS1で端末からの接続要求の受信をチェックしており、接続要求を受信するとステップS2に進み、認証処理を実行する。この認証処理は、
(1)端末12の認証要求に対し認証応答を返すと同時にチャレンジテキストを送信、
(2)端末12によるチャレンジテキストの暗合化レスポンスメッセージを受信、
(3)受信した暗合化メッセージを秘密キーで復号、
(4)チャレンジテキストと復号メッセージを比較し、一致すれば認証成功を応答、。
の手順となる。
認証情報が正しいと判断されることで認証に成功するとステップS3に進み、認証情報はアソシエーションテーブル68に登録されているか否かチェックする。この時、端末からの接続要求がアクセスポイントから通信接続許可を得るための最初のアクセスであった場合には、アソシエーションテーブル68には認証情報の登録がないことからステップS4に進み、MACアドレスがアソシエーションテーブル68に登録されているかチェックする。
最初のアクセスの場合にはMACアドレスの登録がないことからステップS5に進み、認証情報とセットでMACアドレスをアソシエーションテーブル68に登録し、登録後にステップS6で接続許可を端末に応答する。
一方、アクセスポイントに認証情報とMACアドレスの組み合わせの登録が行なわれた後の端末からの接続要求に対しては、ステップS2で認証情報の正しさが判別され、ステップS3で認証情報がアソシエーションテーブルに登録されていることが判別され、ステップS7に進む。
ステップS7にあってはMACアドレスと認証情報の組み合わせがアソシエーションテーブルに登録されているMACアドレスと認証情報の組み合わせと比較照合して正しいか否かチェックし、正しければステップS6で接続を許可する。
一方、ステップS2で認証に失敗して受信した認証情報が正しくないと判断された場合にはステップS8で接続を拒否する。またステップS7でアソシエーションテーブルに登録されている認証情報とMACアドレスの組み合わせが受信したMACアドレスと認証情報の組み合わせに一致せずに組み合わせとして誤っている場合にもステップS8で接続を拒否する。
図13は、図4の端末12における認証接続処理のフローチャートである。図13において、端末12はステップS1でメモリカードの接続の有無をチェックしており、メモリカードの接続があるとステップS2に進み、メモリカードから接続情報と認証情報を読み込み、ステップS3で読み込んだ認証情報と接続情報に基づいて無線LANに必要な設定を行なう。
続いてステップS4でアクセスポイントの検索処理としてプローブ要求パケットをアクセスポイントに送信し、プローブ応答パケットを受信したアクセスポイントをアクセスポイントリスト80に登録し、接続可能なネットワークとして具体的にはSS−IDによるネットワーク名の表示を行なう。
続いてステップS5でアクセスポイントリスト80の中に登録されたいずれかのアクセスポイントを選択して、認証処理を実行する。この認証処理は、アクセスポイント10に対し認証要求を出して認証応答をとチャレンジテキストを受信し、受信したチャレンジテキストを秘密キーで暗号化してレスポンスメッセージとしてアクセスポイント10に返し、認証成功又は不成功の応答を受ける。
ステップS5の認証に成功すると、ステップS6で接続許可を得るためのアソシエーション処理を実行する。アソシエーション処理はアクセスポイントに対しアソシエーション要求パケットを送信し、アクセスポイントのアソシエーションテーブルに対するMACアドレスと認証情報の組み合わせを登録に基づく接続許可の通知であるアソシエーション応答パケットを受信することになる。
ステップS7でアソシエーション応答として接続許可があった場合にはステップS8で端末設定完了表示を行なう。一方、接続許可が受信できなかった場合には端末設定エラー表示をステップS9で行う。
端末設定エラー表示がステップS9で行なわれた場合にはメモリカード18に書き込んでいる認証情報がすでにアクセスポイントで他の端末の接続許可のために不正に使用されている可能性があることから、端末からメモリカードを取り外し、再びアクセスポイント10のカードスロットに挿入して接続情報及び認証情報の再設定による再発行を受けて、再発行を受けたメモリカードによる端末の設定処理を行なう必要がある。
図14乃至図18は、図4のアクセスポイント10に対し認証情報を不正に入手した不正端末によるアソシエーションテーブルの登録による接続許可が行なわれ、その後にメモリカードの再発行で登録が削除されて不正ユーザ端末のアクセスが禁止される処理を示した説明図である。
図14はアクセスポイント設定用端末14からの指示によりアクセスポイント10で接続情報及び認証情報の設定が行なわれ、設定完了でメモリカード18に接続情報に加えて認証情報128−1「認証情報A」として書き込まれ、メモリカード18が発行された状態である。
この状態で不正ユーザがメモリカード18の認証情報128である「認証情報A」を不正に入手し、不正ユーザ端末120を使用してアクセスポイント10に接続許可を得た後、即ちアクセスポイント検索動作、認証動作及びアソシエーション動作を行なったとする。
このような不正ユーザ端末120からのアクセスに対しアクセスポイント10は「認証情報A」は正しいため、アソシエーションテーブル68には不正ユーザ端末120のMACアドレス126−1である「MACアドレスaaaa」と不正に入手した認証情報128である「認証情報A」の組合せを登録し、不正ユーザ端末120に対して接続許可を通知する。
その後、図15に示すようにメモリカード18の正式発行を受けた正式ユーザが正式ユーザ端末12−1にメモリカード18を接続し、必要な情報を読み出してアクセスポイント10に対する無線LAN接続に必要な設定を完了した後、接続許可を得るためのアクセス、即ちアクセスポイント検索動作、認証動作及びアソシエーション動作を行なったとする。
この認証動作でアソシエーション要求パケットを送信した場合、アクセスポイント10は正式ユーザ端末12−1から受信した認証情報128として「認証情報A」については、アクセスポイント10に登録している「認証情報A」と同じ暗号キーであることから、認証情報は正しいと判断する。
しかし、アソシエーションテーブル68を参照してMACアドレス126−1と認証情報128−1の組み合わせ(MACアドレスaaaa,認証情報A)が正式ユーザ端末12−1から受信したMACアドレス130と認証情報Aの組み合わせ(MACアドレスbbbb,認証情報A)と比較すると、正しい組み合わせとなっていないことから、正式ユーザ端末12−1からの接続要求を拒否する。
このような接続要求に対するアクセスポイントからの拒否結果をみた正式ユーザ端末12−1の正式ユーザは、メモリカード18の認証情報128−2が使用できないことから、図16のように再度アクセスポイント10にメモリカード18を接続し、アクセスポイント設定用端末14による指示のもとにアクセスポイント10に接続要求及び認証情報の設定処理を再度行い、設定完了でメモリカード18に新たな認証情報132を書き込んで再発行を受ける。
ここでアクセスポイント10にメモリカード18を差し込むことで、設定済みの認証情報が残っていることが判別され、メモリカード18の設定済み認証情報である「認証情報A」を削除し、同時にアソシエーションルテーブル68に登録されている認証情報128−1である「認証情報A」も削除する。そしてメモリカード18の再発行のために発行された新たな認証情報Bをメモリカード18に認証情報132として書き込む。
図17は、図16で再発行されたメモリカード18を使用した正式ユーザ端末12−1による接続情報及び認証情報の設定と、その後のアクセスポイント10に対する接続要求を示している。
この場合、正式ユーザ端末12−1は新たに発行された認証情報132としての「認証情報B」を使用して認証動作とアソシエーション動作を行っており、「認証情報B」はアクセスポイント10で正しい認証情報と判断された後、正式ユーザ端末12−1のMACアドレス134−1とともに、認証情報132−1の組み合わせである(MACアドレスbbbb,認証情報B)の情報をアソシエーションテーブル68に登録し、登録後に接続許可を応答する。
また正式ユーザ端末12−1は再発行されたメモリカード18の接続情報及び認証情報に基づいた設定でアクセスポイント10に対する無線LAN通信接続を確立することができる。
図18は、メモリカード18の再発行で正式ユーザ端末12−1に対するアクセスポイント10からの接続許可が出された後に、不正ユーザ端末120がアクセスポイント10に接続要求を行なった場合である。不正ユーザ端末120が接続要求を行なうと、認証情報128として「認証情報A」は正しいが、このときアソシエーションテーブル68の不正ユーザ端末120のMACアドレス1126−1に対応した認証情報136について、その組み合わせは(MACアドレスaaaa,登録なし)となっており、受信したMACアドレスと認証情報の組み合わせ(MACアドレスaaaa、認証情報A)とは一致せず、間違った組み合わせであり、従ってアクセスポイント10は不正ユーザ端末120からの接続要求を拒否することになる。
このように本発明にあっては、アクセスポイント10から接続情報及び認証情報を書き込んで発行されたメモリカードにつき不正ユーザが認証情報を不正に入手して成りすましによりアクセスポイント10に接続したとしても、正式ユーザに対するメモリカードの再発行によってアクセスポイント10から不正ユーザ端末の認証情報の登録を削除し、それ以降の不正ユーザ端末からの接続要求を拒否することができる。
図19は、メモリカードを接続するカードスロットをもたないアクセスポイントを使用した本発明が適用される無線LANシステムの説明図である。図19において、この実施形態のアクセスポイント10は、メモリカード18を接続するカードスロットを備えていない。従ってメモリカード18に対するアクセスポイント10に対する設定完了後の接続情報及び認証情報の書き込みは、アクセスポイント設定用端末14のカードスロット15に対するメモリカード18の接続を使用して行なう。それ以外の点は図2の実施形態と同じである。
図20は、図19のアクセスポイント10、端末12及びアクセスポイント設定用端末14の機能構成のブロック図である。図20におけるアクセスポイント10の構成は基本的に図4の実施形態と同じであるが、アクセスポイント10はカードスロットを持っていないことから、図4の無線LANコントローラ30に設けていた設定情報複写部の機能は取り除かれ、これに代えてカードスロット15を備えているアクセスポイント設定用端末14の無線LAN設定部84に、新たに設定情報複写部166を設けるようにしている。
このためアクセスポイント設定用端末14からの設定画面を利用した指示でアクセスポイント10において接続情報及び認証情報の設定が行なわれた場合、設定された接続情報及び認証情報はアクセスポイント設定用端末14にもどされ、その設定情報複写部166によりカードスロット15に接続しているメモリカード18に書き込まれるようになる。
アクセスポイント設定用端末14において接続情報及び認証情報が書き込まれたメモリカード18は、図4の場合と同様、端末12のカードスロット74にメモリカード18−1のように接続され、メモリカード18−1の情報が必要に応じて読み出され、端末12における無線LAN接続のための接続情報及び認証情報の設定が行なわれることになる。
それ以外のアクセスポイント10、端末12及びアクセスポイント設定用端末14における機能は図4の実施形態と同じである。
図21は、図20のアクセスポイント設定用端末14とアクセスポイント10の間の設定処理のタイムチャートである。図21において、アクセスポイント設定用端末14はステップS1で図6及び図7に示したような設定画面を開いて設定情報を入力する。続いてステップS2でカードスロットにメモリカード18の接続があるか否かチェックし、接続があればステップS3に進み、メモリカード18に以前に発行した設定済み認証情報が残っているか否かチェックする。
最初のメモリカードの発行であれば、設定済み認証情報は残っていないことからステップS7に進み、設定情報と認証情報をアクセスポイント10に送信し、設定完了の応答を待ってステップS8でメモリカード18に設定済みの接続情報と認証情報を書き込む複写処理を行なう。
一方、ステップS3でメモリカード18の再発行であった場合には、メモリカード18に設定済みの認証情報が残っていることから、この場合にはステップS4に進み、メモリカード18の設定済みの認証情報を削除する。次にステップS5でアクセスポイント10に対し設定済み認証情報の削除を要求する。
これを受けてアクセスポイント10は要求された認証情報をアソシエーションテーブル68から削除し、削除完了で処理を終了する。アクセスポイント設定用端末14はステップS6で設定済み認証情報の削除応答を待っており、削除応答を受けるとステップS7で新たに設定が行なわれた接続情報と認証情報をアクセスポイントに送信し、アクセスポイント10がステップS102で接続情報と認証情報に基づく設定処理を行い、設定完了をステップS8で受けるとメモリカード18に接続情報と認証情報を書き込む複写処理を行なってメモリカード18の再発行を行なう。
このようなメモリカード18の再発行におけるメモリカードの設定済み認証情報とアクセスポイントにおけるアソシエーションテーブルからの設定済み認証情報の削除によって、不正ユーザ端末によって登録されているアソシエーションテーブルの認証情報を削除し、それ以降の不正ユーザ端末からの通信接続を拒否することができる。
なお、図20の実施形態における端末12とアクセスポイント10との間の処理手順は図11のタイムチャートと同じであり、アクセスポイントの認証接続処理は図12のフローチャートと同じであり、さらに端末12の認証接続処理も図13のフローチャートと同じである。
また本発明は図4及び図20に示したアクセスポイントの無線LANコントローラ30により実行されるアクセスポイント制御プログラムを提供するものであり、アクセスポイント制御プログラムは図12に示したアクセスポイント認証接続処理のフローチャートの処理手順を持つことになる。
また上記の実施形態は端末12としてパーソナルコンピュータを例にとるものであったが、これ以外にアクセスポイント10と無線LANにより通信接続可能なPDAなどの適宜の端末を含む。
また上記の実施形態にあっては端末12に無線LANカードを装着して使用する場合を例にとっているが、端末そのものに無線LANポートとして固定的に実装するタイプであってもよい。更に上記の実施形態はIEEE802.11の無線LANを例にとるもであったが、本発明これに限定されず適宜の方式をとる無線LANにそのまま適用することができる。
また本発明はその目的と利点を損なうことのない適宜の変形を含み、また上記の実施形態に示した数値による限定は受けない。
ここで本発明の特徴を列挙する次の付記のようになる。
(付記)
(付記1)
通信装置と無線ネットワークにより接続される通信中継装置に、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する前記通信装置の認証情報を設定する情報設定ステップと、
通信中継装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信した認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可ステップと、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を実行させることを特徴とする制御プログラム。(1)
(付記2)
付記1記載の制御プログラムに於いて、前記設定情報複写ステップは、前記通信中継装置に接続された前記可搬型記録媒体に設定済みの認証情報が複写されていた場合、前記設定済みの複写情報を前記可搬型記録媒体及び前記管理情報から削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を複写することを特徴とする制御プログラム。(2)
(付記3)
通信装置と無線ネットワークにより接続される通信中継装置に、
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定ステップと、
前記情報設定用通信装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可ステップと、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を実行させることを特徴とする制御プログラム。(3)
(付記4)
付記1記載の制御プログラムに於いて、前記情報設定ステップは、前記情報設定用通信装置から前記可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、前記管理情報から前記設定済みの認証情報を削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を前記可搬型記録媒体に設定することを特徴とする制御プログラム。(4)
(付記5)
付記1又は3記載の制御プログラムに於いて、前記通信装置の識別子は、前記通信装置のMACアドレスであることを特徴とする制御プログラム。
(付記6)
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定ステップと、
通信中継装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可ステップと、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を備えたことを特徴とする通信中継装置制御方法。
(付記7)
付記6記載の通信中継装置制御方法に於いて、前記設定情報複写ステップは、前記通信中継装置に接続された前記可搬型記録媒体に設定済みの認証情報が複写されていた場合、前記設定済みの複写情報を前記可搬型記録媒体及び前記管理情報から削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を複写することを特徴とする通信中継装置制御方法。
(付記8)
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定ステップと、
前記情報設定用通信装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可ステップと、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
を備えたことを特徴とする通信中継装置制御方法。
(付記9)
付記8記載の無線ネットワークの通信中継装置制御方法に於いて、前記情報設定ステップは、前記情報設定用通信装置から前記可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、前記管理情報から前記設定済みの認証情報を削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を設定することを特徴とする通信中継装置制御方法。
(付記10)
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写部と、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可部と、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を備えたことを特徴とする通信中継装置。(5)
(付記11)
付記10記載の無線ネットワークの通信中継装置に於いて、前記設定情報複写部は、接続された前記可搬型記録媒体に設定済みの認証情報が複写されていた場合、前記設定済みの複写情報を前記可搬型記録媒体及び前記管理情報から削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を複写することを特徴とする通信中継装置。
(付記12)
情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
前記情報設定用通信装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写部と、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可部と、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を備えたことを特徴とする通信中継装置。
(付記13)
付記12記載の通信中継装置に於いて、前記情報設定部は、前記情報設定用通信装置から前記可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、前記管理情報から前記設定済みの認証情報を削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を設定することを特徴とする通信中継装置。
(付記14)
可搬型記録媒体を接続する通信中継装置と、
前記通信中継装置に無線ネットワークで接続され前記可搬型記録媒体を接続可能な通信装置と、
前記通信中継装置に接続情報と前記通信装置の認証情報の設定を指示する情報設定用通信装置と、
を備え、
前記通信中継装置に、
前記情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
接続された前記可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写部と、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可部と、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を設けたことを特徴とするシステム。
(付記15)
付記14記載のシステムに於いて、前記通信中継装置の設定情報複写部は、接続された前記可搬型記録媒体に設定済みの認証情報が複写されていた場合、前記設定済みの複写情報を前記可搬型記録媒体及び前記管理情報から削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を複写することを特徴とするシステム。
(付記16)
通信中継装置と、
前記通信中継装置に無線ネットワークで接続され可搬型記録媒体を接続可能な通信装置と、
前記可搬型記録媒体を接続し、前記通信中継装置に接続情報と前記通信装置の認証情報の設定を指示する情報設定用通信装置と、
を備え、
前記情報設定用通信装置に、
前記通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報の設定を指示する情報設定指示部と、
前記通信中継装置に設定を指示した前記接続情報と認証情報を接続した可搬型記録媒体に複写するカード複写処理部を、
設け、
前記通信中継装置に、
前記情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
前記情報設定用通信装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可部と、
前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
を設けたことを特徴とするシステム。
(付記17)
付記16記載のシステムに於いて、
前記情報設定用通信装置のカード複写処理部は、接続された前記可搬型記録媒体に設定済みの認証情報が複写されていた場合、前記可搬型記録媒体から設定済み認証情報を削除すると共に前記通信中継装置に設定済み認証情報の削除を指示し、
前記通信中継装置の情報設定部は、前記情報設定用通信装置からの削除指示に基づき、前記管理情報から前記設定済みの認証情報を削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を設定することを特徴とするシステム。
本発明の原理説明図 カードスロットを備えたアクセスポイントを用いた無線LANシステムの説明図 図2のアクセスポイントと端末のハードウェア環境のブロック図 図2のアクセスポイント、端末及びアクセスポイント設定用端末の機能構成のブロック図 図4のアクセスポイントに設けたアソシエーションテーブルの説明図 図4のアクセスポイント設定用端末で表示する無線LAN設定画面の説明図 図4のアクセスポイント設定用端末で表示するセキュリティ設定画面の説明図 図6及び図7の設定画面により設定したアクセスポイント設定項目と端末設定項目の対応説明図 図8の設定項目に対応してアクセスポイントに保存する設定データの説明図 図4のアクセスポイント設定用端末とアクセスポイントの間の設定処理のタイムチャート 図4の端末とアクセスポイントの間の接続処理のタイムチャート 図4のアクセスポイントによる認証接続処理のフローチャート 図4の端末による認証接続処理のフローチャート 図4においてメモリカードに複写した認証情報を不正使用した不正ユーザ端末からの接続要求に対する接続許可の説明図とその後の正式ユーザ端末に対する接続拒否の説明図 図14の不正ユーザ端末に接続許可を通知した後の正式ユーザ端末からの接続要求を拒否する説明図 正式ユーザがメモリカードに認証情報を再複写する際にアクセスポイントから不正使用されている認証情報が削除される説明図 メモリカード再複写後の正式ユーザ端末による接続要求を許可する説明図 メモリカードに再複写した後の不正ユーザ端末からの接続要求を拒否する説明図 カードスロットを持たないアクセスポイントを使用した本発明が適用される無線LANシステムの説明図 図19のアクセスポイント、端末及びアクセスポイント設定用端末の機能構成のブロック図 図20のアクセスポイント設定用端末とアクセスポイントの間の設定処理のタイムチャート
符号の説明
10:アクセスポイント
11:無線LAN
12:端末
14:アクセスポイント設定用端末
15,16,74:カードスロット
18:メモリカード
20:有線LAN
22,42:プロセッサ
32,58:アンテナ切替部
36−1,36−2,62−1,62−2:アンテナ
64:認証情報発行部
65:情報設定部
66,166:設定情報複写部
68:アソシエーションテーブル(管理テーブル)
70:接続許可部
72:接続処理部
76:情報設定部
78:接続許可要求部
80:アクセスポイントリスト
82:接続処理部
84:無線LAN設定部
86:接続情報設定指示部
88:認証情報設定指示部
90:無線LAN設定画面
105:セキュリティ設定画面
126,128:認証情報
166:認証情報複写部

Claims (5)

  1. 通信装置と無線ネットワークにより接続される通信中継装置に、
    情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する前記通信装置の認証情報を設定する情報設定ステップと、
    通信中継装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
    前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信した認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可ステップと、
    前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
    を実行させることを特徴とする制御プログラム。
  2. 付記1記載の制御プログラムに於いて、前記設定情報複写ステップは、前記通信中継装置に接続された前記可搬型記録媒体に設定済みの認証情報が複写されていた場合、前記設定済みの複写情報を前記可搬型記録媒体及び前記管理情報から削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を複写することを特徴とする制御プログラム。
  3. 通信装置と無線ネットワークにより接続される通信中継装置に、
    情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定ステップと、
    前記情報設定用通信装置に接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写ステップと、
    前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可ステップと、
    前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理ステップと、
    を実行させることを特徴とする制御プログラム。
  4. 付記1記載の制御プログラムに於いて、前記情報設定ステップは、前記情報設定用通信装置から前記可搬型記録媒体に設定済みの認証情報が複写されていた場合の設定済み認証情報の削除指示に基づき、前記管理情報から前記設定済みの認証情報を削除した後に、前記情報設定用通信装置から指示された設定情報と新たな認証情報を前記可搬型記録媒体に設定することを特徴とする制御プログラム。
  5. 情報設定用通信装置からの指示により通信中継装置の接続情報と無線ネットワークで接続する通信装置の認証情報を設定する情報設定部と、
    接続された可搬型記録媒体に前記接続情報と認証情報を複写する設定情報複写部と、
    前記可搬型記録媒体の接続により無線ネットワークの接続情報と認証情報が設定された通信装置から最初の接続要求を受信した際に、受信された認証情報が正しいことを条件に前記通信装置の識別子と前記認証情報の組合わせを管理情報に登録し、前記通信装置に対し接続許可を通知する接続許可部と、
    前記接続許可を通知した後に前記通信装置から接続要求を受信した際に、受信された通信装置の識別子と認証情報の組合せと前記管理情報に登録されている通信装置の識別子と認証情報の組合せとを比較し、組合せが正しい場合は接続を許可し、組合せが誤っている場合は接続を拒否する接続処理部と、
    を備えたことを特徴とする通信中継装置。
JP2004246553A 2004-08-26 2004-08-26 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム Withdrawn JP2006067174A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004246553A JP2006067174A (ja) 2004-08-26 2004-08-26 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム
US10/999,316 US20060045272A1 (en) 2004-08-26 2004-11-29 Control program, communication relay apparatus control method, communication relay apparatus, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004246553A JP2006067174A (ja) 2004-08-26 2004-08-26 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム

Publications (1)

Publication Number Publication Date
JP2006067174A true JP2006067174A (ja) 2006-03-09

Family

ID=35943087

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004246553A Withdrawn JP2006067174A (ja) 2004-08-26 2004-08-26 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム

Country Status (2)

Country Link
US (1) US20060045272A1 (ja)
JP (1) JP2006067174A (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008131464A (ja) * 2006-11-22 2008-06-05 Canon Inc 受信装置、送信装置、方法、及び、プログラム
JP2009071707A (ja) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd 鍵共有方法、鍵配信システム
JP2010183556A (ja) * 2009-02-05 2010-08-19 Handlink Technologies Inc 無線ネットワークアーキテクチャ、無線ネットワーク基地局およびその通信方法
JP2011205706A (ja) * 2011-07-12 2011-10-13 Canon Inc 受信装置、方法、及び、プログラム
JP2012060523A (ja) * 2010-09-10 2012-03-22 Hitachi Ltd 無線lanアクセスポイント
JP2013066081A (ja) * 2011-09-19 2013-04-11 Tamura Seisakusho Co Ltd 受信機用ラック及び受信機監視システム
US8462744B2 (en) 2006-10-30 2013-06-11 Canon Kabushiki Kaisha Wireless parameter setting method, base station, management apparatus, control method, and computer program
JP2014048983A (ja) * 2012-08-31 2014-03-17 Fujitsu Fsas Inc ネットワーク接続方法および電子機器
JP2015502104A (ja) * 2011-11-28 2015-01-19 アルカテル−ルーセント 融合ワイヤレスネットワークにおいての認証の方法およびデバイス
JP2015526926A (ja) * 2012-05-21 2015-09-10 クアルコム,インコーポレイテッド ワイヤレスドッキングプロファイルを使用したワイヤレスドッキングのためのシステムおよび方法
CN105451188A (zh) * 2014-08-08 2016-03-30 阿里巴巴集团控股有限公司 实现信息推送的方法、服务器、共享者客户端、第三方客户端
JP2016519828A (ja) * 2014-03-28 2016-07-07 シャオミ・インコーポレイテッド アクセス制御方法、装置、プログラム、及び記録媒体
JP6072868B1 (ja) * 2015-09-01 2017-02-01 Necプラットフォームズ株式会社 無線通信装置、無線通信システム、判定方法、及びプログラム
JP2018014611A (ja) * 2016-07-21 2018-01-25 京セラドキュメントソリューションズ株式会社 通信機器及び通信プログラム
JP2018511282A (ja) * 2015-03-27 2018-04-19 ユーネット セキュア インコーポレイテッド Wipsセンサー及びこれを用いた端末遮断方法
US10095638B2 (en) 2014-09-02 2018-10-09 Toshiba Memory Corporation Memory system capable of wireless communication and method of controlling memory system

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7353017B2 (en) * 2004-11-30 2008-04-01 Microsoft Corporation Method and system for provisioning a wireless device
JP2006203300A (ja) * 2005-01-18 2006-08-03 Toshiba Corp 転送装置、アクセス可否判定方法およびプログラム
KR100666947B1 (ko) * 2005-02-01 2007-01-10 삼성전자주식회사 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템
KR100736047B1 (ko) * 2005-07-28 2007-07-06 삼성전자주식회사 무선 네트워크 장치 및 이를 이용한 인증 방법
JP4419936B2 (ja) * 2005-09-13 2010-02-24 船井電機株式会社 クライアント・サーバシステム
KR100749720B1 (ko) * 2006-08-18 2007-08-16 삼성전자주식회사 다중 인증 정책을 지원하는 접속노드 장치 및 방법
EP1892913A1 (de) * 2006-08-24 2008-02-27 Siemens Aktiengesellschaft Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
JP4777229B2 (ja) * 2006-12-20 2011-09-21 キヤノン株式会社 通信システム、管理装置、管理装置の制御方法、及び当該制御方法をコンピュータに実行させるためのコンピュータプログラム
JP4916338B2 (ja) * 2007-02-26 2012-04-11 キヤノン株式会社 周辺装置およびそのアクセス制御方法
US8223732B2 (en) * 2008-06-18 2012-07-17 Symbol Technologies, Inc. Method and apparatus for balancing load across access devices in a wireless network
EP2175674B1 (en) 2008-10-13 2015-07-29 Vodafone Holding GmbH Method and system for paring devices
US8451735B2 (en) 2009-09-28 2013-05-28 Symbol Technologies, Inc. Systems and methods for dynamic load balancing in a wireless network
US20110248836A1 (en) * 2010-04-11 2011-10-13 Cree, Inc. Lighting apparatus with encoded information
KR101957942B1 (ko) 2010-10-08 2019-03-15 삼성전자주식회사 서비스 방법, 그 장치 및 그 서버
US20120289151A1 (en) * 2011-05-09 2012-11-15 Chih-Hsiang Wu Method of Handling Attach Procedure and Related Communication Device
ES2902378T3 (es) * 2012-03-07 2022-03-28 Nokia Solutions & Networks Oy Selección del modo de acceso basado en la identidad de la red de acceso seleccionada del equipo del usuario
CN104685800B (zh) * 2012-09-29 2018-03-30 Lg 电子株式会社 在无线lan系统中执行中继操作的方法和装置
US10321393B2 (en) * 2013-07-31 2019-06-11 Samsung Electronics Co., Ltd. Method and device for connecting single AP device among multiple AP devices on same network to terminal
US9521614B2 (en) * 2013-09-23 2016-12-13 Texas Instruments Incorporated Power efficient method for Wi-Fi home automation
US10057813B1 (en) * 2014-05-09 2018-08-21 Plume Design, Inc. Onboarding and configuring Wi-Fi enabled devices
KR102208072B1 (ko) * 2014-09-01 2021-01-27 삼성전자주식회사 데이터 처리 시스템
US11265249B2 (en) 2016-04-22 2022-03-01 Blue Armor Technologies, LLC Method for using authenticated requests to select network routes
US10187299B2 (en) * 2016-04-22 2019-01-22 Blackridge Technology Holdings, Inc. Method for using authenticated requests to select network routes
CN106060878B (zh) * 2016-05-17 2019-09-17 新华三技术有限公司 一种设备的中继方法和中继器
JP6822180B2 (ja) * 2017-02-02 2021-01-27 セイコーエプソン株式会社 印刷装置、印刷装置の制御方法、及び、通信システム
CN106982434B (zh) * 2017-03-03 2020-02-11 上海斐讯数据通信技术有限公司 一种无线局域网安全接入方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100213188B1 (ko) * 1996-10-05 1999-08-02 윤종용 사용자 인증 장치 및 방법
JP4166466B2 (ja) * 2001-12-19 2008-10-15 ソニー株式会社 無線通信システム及び無線通信方法、無線通信装置及びその制御方法、並びにコンピュータ・プログラム
JP2003218873A (ja) * 2002-01-24 2003-07-31 Fujitsu Ltd 通信監視装置及び監視方法
JP2006019961A (ja) * 2004-06-30 2006-01-19 Toshiba Corp 無線通信装置及び無線通信方法
JP2007214890A (ja) * 2006-02-09 2007-08-23 Matsushita Electric Ind Co Ltd 電力線通信装置及び電力線通信システム

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8462744B2 (en) 2006-10-30 2013-06-11 Canon Kabushiki Kaisha Wireless parameter setting method, base station, management apparatus, control method, and computer program
JP2008131464A (ja) * 2006-11-22 2008-06-05 Canon Inc 受信装置、送信装置、方法、及び、プログラム
JP2009071707A (ja) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd 鍵共有方法、鍵配信システム
JP2010183556A (ja) * 2009-02-05 2010-08-19 Handlink Technologies Inc 無線ネットワークアーキテクチャ、無線ネットワーク基地局およびその通信方法
JP2012060523A (ja) * 2010-09-10 2012-03-22 Hitachi Ltd 無線lanアクセスポイント
JP2011205706A (ja) * 2011-07-12 2011-10-13 Canon Inc 受信装置、方法、及び、プログラム
JP2013066081A (ja) * 2011-09-19 2013-04-11 Tamura Seisakusho Co Ltd 受信機用ラック及び受信機監視システム
JP2015502104A (ja) * 2011-11-28 2015-01-19 アルカテル−ルーセント 融合ワイヤレスネットワークにおいての認証の方法およびデバイス
US9883390B2 (en) 2011-11-28 2018-01-30 Alcatel Lucent Method and a device of authentication in the converged wireless network
JP2015526926A (ja) * 2012-05-21 2015-09-10 クアルコム,インコーポレイテッド ワイヤレスドッキングプロファイルを使用したワイヤレスドッキングのためのシステムおよび方法
US9749038B2 (en) 2012-05-21 2017-08-29 Qualcomm Incorporated System and method for wireless docking utilizing a wireless docking profile
JP2014048983A (ja) * 2012-08-31 2014-03-17 Fujitsu Fsas Inc ネットワーク接続方法および電子機器
JP2016519828A (ja) * 2014-03-28 2016-07-07 シャオミ・インコーポレイテッド アクセス制御方法、装置、プログラム、及び記録媒体
KR101883682B1 (ko) 2014-08-08 2018-07-31 알리바바 그룹 홀딩 리미티드 정보 푸싱 방법, 서버, 공유자 클라이언트 및 제3자 클라이언트
CN105451188B (zh) * 2014-08-08 2018-11-16 阿里巴巴集团控股有限公司 实现信息推送的方法、服务器、共享者客户端、第三方客户端
KR20170042320A (ko) * 2014-08-08 2017-04-18 알리바바 그룹 홀딩 리미티드 정보 푸싱 방법, 서버, 공유자 클라이언트 및 제3자 클라이언트
US11063934B2 (en) 2014-08-08 2021-07-13 Advanced New Technologies Co., Ltd. Information pushing method, server, sharer client and third-party client
JP2017534938A (ja) * 2014-08-08 2017-11-24 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 情報プッシュ方法、サーバ、共有者クライアント、及び第三者クライアント
US10136317B2 (en) 2014-08-08 2018-11-20 Alibaba Group Holding Limited Information pushing method, server, sharer client and third-party client
CN105451188A (zh) * 2014-08-08 2016-03-30 阿里巴巴集团控股有限公司 实现信息推送的方法、服务器、共享者客户端、第三方客户端
US10095638B2 (en) 2014-09-02 2018-10-09 Toshiba Memory Corporation Memory system capable of wireless communication and method of controlling memory system
JP2018511282A (ja) * 2015-03-27 2018-04-19 ユーネット セキュア インコーポレイテッド Wipsセンサー及びこれを用いた端末遮断方法
JP6072868B1 (ja) * 2015-09-01 2017-02-01 Necプラットフォームズ株式会社 無線通信装置、無線通信システム、判定方法、及びプログラム
WO2017037964A1 (ja) * 2015-09-01 2017-03-09 Necプラットフォームズ株式会社 無線通信装置、無線通信システム、判定方法、及びプログラムが格納された非一時的なコンピュータ可読媒体
US10542434B2 (en) 2015-09-01 2020-01-21 Nec Platforms, Ltd. Evaluating as to whether or not a wireless terminal is authorized
JP2017050679A (ja) * 2015-09-01 2017-03-09 Necプラットフォームズ株式会社 無線通信装置、無線通信システム、判定方法、及びプログラム
JP2018014611A (ja) * 2016-07-21 2018-01-25 京セラドキュメントソリューションズ株式会社 通信機器及び通信プログラム
US10624139B2 (en) 2016-07-21 2020-04-14 Kyocera Document Solutions Inc. Communication device and storage medium suitable for connection to wireless LAN (local area network)

Also Published As

Publication number Publication date
US20060045272A1 (en) 2006-03-02

Similar Documents

Publication Publication Date Title
JP2006067174A (ja) 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム
US7607015B2 (en) Shared network access using different access keys
US8769282B2 (en) Localized network authentication and security using tamper-resistant keys
US7948925B2 (en) Communication device and communication method
KR100739809B1 (ko) Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치
JP4613969B2 (ja) 通信装置、及び通信方法
JP4509446B2 (ja) 無線ネットワークにおいて装置を登録する方法
US7325134B2 (en) Localized network authentication and security using tamper-resistant keys
JP3961462B2 (ja) コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム
JP5120417B2 (ja) 通信装置、通信方法、及び通信システム
JP2009212732A5 (ja)
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
EP2063601A2 (en) Methods to enhance WLAN security
US20080137553A1 (en) Method of automatic certification and secure configuration of a wlan system and transmission device thereof
JP2003338814A (ja) 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP2009033585A (ja) 無線lan端末接続方法およびその方法を用いた無線lanシステム
TW201301928A (zh) 無線區域網路中的網路連線方法、程式產品、及系統
van Oorschot et al. Wireless lan security: 802.11 and wi-fi

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090204

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20090217